Eigentlich soll die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung der EU für mehr Datenschutz von Verbrauchern sorgen. Allerdings führt eine bestimmte Vorschrift der DSGVO dazu, dass Betrüger leichter an Daten für Identitätsdiebstähle kommen können.
Denn Kriminelle können sich die Auskunftspflicht von Unternehmen zunutze machen, um die Informationen potentieller Opfer ohne besonderen Aufwand zu ergattern.
Wie der britische Student James Pavur im Rahmen einer Studie feststellt, die er im Rahmen der »black hat«-Konferenz 2019 in Las Vegas vorstellte (via Golem), kommen diverse Firmen ihrer Auskunftspflicht besonders bereitwillig nach - eine (gefälschte) E-Mail-Adresse reichte aus.
Security-Tipps für Spieler - Accounts und System schützen
Unternehmen verschicken Daten ohne weitere Identitätskontrolle
Pavur schrieb laut eigenen Angaben mehr als 150 Firmen an und bat der DSGVO entsprechend um Auskunft über gespeicherte Daten - allerdings nicht für sich selbst. Er gab sich als seine Freundin Casey Knerr aus, die als Testperson und Mitautorin der Studie fungierte.
Um die Chancen auf Erfolg zu erhöhen, schickte Pavur neben der gefälschten E-Mail-Adresse weitere Daten seiner Freundin an die Unternehmen, die allerdings öffentlich im Internet zugänglich waren. Von den angeschriebenen Firmen antworteten 72 Prozent, davon verweigerten fünf Prozent die Auskunft.
Link zum Twitter-Inhalt
24 Prozent der Unternehmen, die auf Pavurs Anfrage reagierten, schickten die gespeicherten Daten ohne weitere Identitätskontrolle an die angegebene E-Mail-Adresse - ein gefundenes Fressen für Identitätsbetrüger.
Ein marginaler Identitätscheck in Form einer schriftlichen Erklärung oder Geräte-Cookies reichte bei 16 Prozent der Unternehmen aus. Mehr als 60 Prozent der Antworten ließen außerdem Rückschlüsse darauf zu, ob Pavurs Freundin auf der jeweiligen Plattform überhaupt ein Konto besaß.
Präventivmaßnahmen: Bessere Legislative
Als präventive Maßnahmen gegen entsprechende Attacken schlägt Pavur den von der DSGVO betroffenen Unternehmen vor, Account-Logindaten zu verlangen sowie eIDV (»Electronic Identity Verification«) zu nutzen und verdächtige Anfragen abzulehnen.
Für künftige Gesetzgebungsverfahren empfielt Pavur, Firmen die gutgläubige Ablehnung von Anfragen zu gestatten und sie besser bei den nötigen Verifikationsverfahren zu unterstützen.
Schließlich rät Pavur als Schutzmaßnahmen vor Identitätsdiebstahl allgemein zu vorsichtigem Umgang mit eigenen Daten sowie zu Vorsicht vor Authentifizierungsanrufen. Nutzer sollten außerdem fragen, ob jemand bereits zu einem früheren Zeitpunkt eine Auskunft nach DSGVO verlangt habe.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.